创建安全的Java/J2EE Web应用代码培训
|
|
培训目标:
|
- 了解安全有哪些层次,哪些代码和安全,
- 什么样的代码,会引起什么样的安全风险
- 如何检测并记录这些代码安全问题
- 如何通过安全的代码,避免这些安全风险,
- 当风险发生的时候,如何处理
- 执行安全编码原则和方法
执行输入验证
执行输出验证
错误和失败的安全
深度防御
小心处理敏感数据
划分或者分组处理用户、数据和进程
遵循账户管理策略
遵循审计和日志策略
实现最小特权原则
保持开发简单的设计
限制应用的入口点
不要自我发明
不要泄露太多的信息
安全问题列表
安全检测方法列表
安全防范措施列表
|
培训内容:
|
安全编码概览
|
- 安全有哪些层次,哪些代码和安全,
- 什么样的代码,会引起什么样的安全风险
- 如何检测并记录这些代码安全问题
- 如何通过安全的代码,避免这些安全风险,
- 当风险发生的时候,如何处理,
|
分析软件安全越来越严重的
原因和根源
|
- 为什么软件安全问题日益增长
- 黑客攻击方式的进化
- 传统的分层保护方案减轻系统的风险
- 为什么传统的基于网络的方案不工作
- 黑客可直接痛过攻击软件达到窃取商业信息和破坏应用系统。
- 演示如何利用软件自身的弱点达到攻击系统。
- 软件需要保护它们自己
- 传统学校关于安全技术的教育
- 软件补丁和软件安全攻击的关系
- 软件安全问题的根源。
|
风险管理与安全保护
|
- 风险的定义
- 攻击与威胁的定义
- 安全漏洞的定义
- 应对安全威胁的手段
- 国际安全组织对应用安全的一些法案和规定
|
Web应用安全开发指导概述
|
- 安全Web应用的目的
- 安全漏洞与网络、主机和应用软件的关系
- Web应用的安全范围
- Web应用威胁与应对措施概述
- Web应用安全的核心要素
- OWASP对web应用安全的风险规定
- Web应用安全的13条安全编码最佳实践原则概述
|
Web安全检测方法
|
- 常见的安全入侵类型
- 安全的检测特征和方法
- 安全检测工具和漏洞描述规范
- 安全的报告视图
|
编写J2EE Web应用安全代码的最佳实践原则和策略
|
执行输入验证
|
- 什么是输入验证
- 为什么输入验证是必要
- 输入来源
- 输入验证漏洞的主要类型及修复建议
- 输入验证技术
- 输入验证总结
- 参考读物
|
执行输出验证
|
- 什么是输出验证
- 为什么输出验证是必要
- 何时进行输出验证
- 与输出验证相关的安全漏洞
- 验证输出技术
- 输出验证总结
- 参考读物
|
错误和失败的安全
|
- 什么是错误处理
- 为什么错误处理是必要的
- 何时错误处理不起作用
- 预防方法
|
深度防御
|
- 深度防范的介绍
- 当只有单层防范时,会发生什么。
- 深度防范如何发挥作用
|
小心处理敏感数据
|
- 敏感数据介绍
- 国际标准对敏感数据处理的一些规定
- 安全处理敏感数据的技术
|
划分或者分组处理用户、
数据和进程
|
- 划分或者分组介绍
- 数据分离
- 用户分离
- 进程分离
- 划分数据、用户和进程
|
遵循账户管理策略
|
- 帐户管理和帐户管理策略
- 账户管理和国际适应性标准
- 帐户管理和遵守标准
- 帐户管理最佳方案
|
遵循审计和日志策略
|
|
实现最小特权原则
|
- 最小权限原则介绍
- 不遵循最小权限原则的隐患
- 如何实现最小权限原则
|
保持开发简单的设计
|
|
限制应用的入口点
|
|
不要自我发明
|
- 介绍自我发明的概念
- 自我发明的危险
- 如何避免自我发明
|
不要泄露太多的信息
|
- 披露多余信息的问题
- 披露敏感信息
- 平衡安全性和可用性
- 攻击者如何利用信息
- 信息披露的常见例子
- 信息最小披露原则
|
安全编码回顾
|
- 安全编码原则回顾
- 安全问题列表
- 安全检测方法列表
- 安全防范措施列表
|
|
如果您想学习本课程,请
预约报名
如果没找到合适的课程或有特殊培训需求,请
订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请
服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。
专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获